June 11, 2026

AI Act compliance checklista dla firm

Nowe Technologie i Branża IT

Jak przygotować firmę do zgodności z AI Act

AI Act to unijne rozporządzenie, które wprowadza jednolite zasady projektowania, wprowadzania do obrotu, oddawania do użytku i wykorzystywania systemów sztucznej inteligencji w Unii Europejskiej. Dla przedsiębiorców oznacza to konieczność sprawdzenia, czy wykorzystywane lub tworzone narzędzia AI podlegają pod nowe obowiązki regulacyjne. W ocenie obowiązków regulacyjnych i ryzyk związanych ze sztuczną inteligencją pomocny może być prawnik AI.

W praktyce zgodność z przepisami AI Act nie zaczyna się od pisania polityk wewnętrznych. Pierwszym krokiem powinno być ustalenie, jakie systemy AI firma faktycznie posiada, do czego są używane, kto nimi zarządza oraz czy i jak wpływają one na osoby fizyczne, klientów, pracowników, kandydatów, kontrahentów lub użytkowników końcowych.

Poniżej przedstawiamy praktyczną checklistę dla firm, które chcą uporządkować AI Act compliance i przygotować organizację do nowych obowiązków.

1. Ustal, czy firma korzysta z systemów AI

Pierwszym etapem jest inwentaryzacja narzędzi. Nie chodzi wyłącznie o własne modele AI budowane przez dział technologiczny. W wielu firmach sztuczna inteligencja jest już obecna w narzędziach HR, systemach CRM, rozwiązaniach marketingowych, chatbotach, systemach analitycznych, narzędziach cyberbezpieczeństwa, oprogramowaniu do scoringu, systemach monitoringu lub aplikacjach wspierających obsługę klienta.

Firma powinna ustalić:

  • jakie narzędzia AI są używane w organizacji;
  • kto jest odpowiedzialny za wdrożenie lub rozwój danego narzędzia;
  • kto ma dostęp do systemu;
  • jakie dane są przetwarzane;
  • jakie wyniki, w tym decyzje lub rekomendacje, generuje system;
  • czy wynik działania systemu wpływa na ludzi.

To podstawowy etap - brak rejestru systemów AI uniemożliwia ocenę ryzyka i przypisanie obowiązków.

2. Sprawdź, czy zastosowanie AI nie mieści się w wyłączeniu dla badań naukowych i rozwoju

AI Act przewiduje szczególne wyłączenia dotyczące badań naukowych, testowania i rozwoju systemów AI oraz modeli AI. Nie oznacza to jednak, że każde użycie AI w dziale R&D automatycznie wypada poza AI Act.

Wyłączenie może mieć znaczenie przede wszystkim wtedy, gdy system AI lub model AI został specjalnie opracowany i oddany do użytku wyłącznie w celu badań naukowych i rozwoju. AI Act nie obejmuje również działalności badawczej, testowej lub rozwojowej dotyczącej systemów AI lub modeli AI przed ich wprowadzeniem do obrotu albo oddaniem do użytku.

3. Sprawdź, czy dane narzędzie jest systemem AI w rozumieniu AI Act

Nie każde oprogramowanie automatyzujące proces biznesowy będzie systemem AI. AI Act obejmuje systemy maszynowe, które działają z różnym poziomem autonomii i wnioskują z otrzymanych danych wejściowych, jak generować wyniki, takie jak predykcje, treści, rekomendacje lub decyzje.

W praktyce należy sprawdzić, czy narzędzie:

  • działa na podstawie danych wejściowych;
  • generuje predykcje, rekomendacje, treści lub decyzje;
  • posiada pewien poziom autonomii;
  • wpływa lub może wpływać na środowisko fizyczne albo cyfrowe;
  • nie jest wyłącznie prostą automatyzacją opartą na sztywnych regułach określonych przez człowieka.

Ten etap jest kluczowy, ponieważ AI Act wymagania dla firm dotyczą tylko tych rozwiązań, które mieszczą się w zakresie rozporządzenia.

AI Act obejmuje również modele generalnego przeznaczenia, ale w tym artykule skupiamy się tylko na systemach AI. 

4. Określ rolę firmy - dostawca, podmiot stosujący, importer, dystrybutor

Obowiązki przedsiębiorców  w kontekście AI Act zależą od roli, jaką firma pełni wobec danego systemu AI. Ta sama firma może być dostawcą jednego systemu i podmiotem stosującym inny system.

Firma może być w szczególności:

  • dostawcą, jeżeli rozwija system AI albo zleca jego rozwój i wprowadza go do obrotu lub oddaje do użytku pod własną nazwą lub znakiem towarowym;
  • podmiotem stosującym, jeżeli wykorzystuje system AI pod swoją kontrolą w działalności zawodowej;
  • importerem, jeżeli wprowadza na rynek UE system AI od dostawcy spoza Unii;
  • dystrybutorem, jeżeli udostępnia system AI na rynku UE;
  • producentem produktu, jeżeli system AI jest elementem produktu objętego unijnymi przepisami harmonizacyjnymi.

Błędne przypisanie roli jest jednym z najczęstszych ryzyk compliance. Szczególnej uwagi wymaga sytuacja, w której firma umieszcza własny znak towarowy na systemie AI wysokiego ryzyka, istotnie modyfikuje taki system albo zmienia jego przeznaczenie. W określonych przypadkach może to prowadzić do przejęcia obowiązków dostawcy.

5. Ustal przeznaczenie systemu AI

W AI Act bardzo duże znaczenie ma przeznaczenie systemu. Chodzi o użycie, dla którego system został przewidziany przez dostawcę, w tym kontekst i warunki używania wskazane w instrukcjach, dokumentacji technicznej, materiałach sprzedażowych, promocyjnych lub oświadczeniach.

Firma powinna ustalić:

  • do czego system został zaprojektowany;
  • w jakich procesach ma być używany;
  • jakie osoby będą z niego korzystać;
  • jakie decyzje lub działania będzie wspierał;
  • czy jego użycie może wykroczyć poza pierwotne przeznaczenie;
  • czy możliwe jest racjonalnie przewidywalne niewłaściwe użycie.

To ważne zwłaszcza przy systemach ogólnego zastosowania oraz narzędziach, które mogą być wykorzystywane w wielu działach firmy. Inne ryzyko ma chatbot do ogólnej obsługi klienta, inne system wspierający rekrutację, a jeszcze inne narzędzie oceniające zdolność kredytową osoby fizycznej.

6. Sprawdź, czy system nie należy do praktyk zakazanych

Najwyższy poziom ryzyka w AI Act obejmuje praktyki zakazane. Firma powinna sprawdzić, czy nie projektuje, nie kupuje ani nie wykorzystuje systemów AI, które mogą mieścić się w katalogu zakazów.

W szczególności należy zweryfikować, czy system nie służy do:

  • szkodliwej manipulacji lub stosowania technik podprogowych;
  • wykorzystywania podatności osób ze względu na wiek, niepełnosprawność lub sytuację społeczno-ekonomiczną;
  • niedopuszczalnego scoringu społecznego;
  • oceny ryzyka popełnienia przestępstwa wyłącznie na podstawie profilowania lub cech osobowości;
  • tworzenia lub rozszerzania baz rozpoznawania twarzy przez nieukierunkowane pozyskiwanie obrazów z internetu lub CCTV;
  • rozpoznawania emocji w miejscu pracy lub instytucjach edukacyjnych, poza wyjątkami przewidzianymi w AI Act;
  • biometrycznej kategoryzacji w celu wnioskowania o szczególnie chronionych cechach;
  • zdalnej identyfikacji biometrycznej w czasie rzeczywistym w przestrzeni publicznej do celów ścigania, poza ściśle określonymi wyjątkami.

Powyższe wyliczenie jest bardzo uproszczonym podejście do niedozwolonych praktyk AI. Niemniej jednak, etap ten powinien być wykonany przed wdrożeniem systemu. Jeżeli firma korzysta już z narzędzia, które może mieścić się w praktykach zakazanych, konieczna jest pilna analiza prawna i techniczna.

7. Oceń, czy system jest systemem wysokiego ryzyka

Systemy wysokiego ryzyka są centralnym elementem AI Act compliance. Ich użycie nie jest zakazane, ale wiąże się z rozbudowanymi obowiązkami prawnymi, technicznymi i organizacyjnymi.

System może być wysokiego ryzyka zasadniczo w dwóch sytuacjach.

Po pierwsze, jeżeli jest produktem albo elementem bezpieczeństwa produktu objętego określonym unijnym prawodawstwem harmonizacyjnym i produkt wymaga oceny zgodności z udziałem strony trzeciej.

Po drugie, jeżeli mieści się w jednym z przypadków wskazanych w załączniku III AI Act. Dotyczy to m.in. wybranych zastosowań w obszarach takich jak:

  • biometria;
  • infrastruktura krytyczna;
  • edukacja i szkolenia zawodowe;
  • zatrudnienie, zarządzanie pracownikami i dostęp do samozatrudnienia;
  • dostęp do podstawowych usług prywatnych oraz usług i świadczeń publicznych;
  • ściganie przestępstw;
  • migracja, azyl i kontrola granic;
  • wymiar sprawiedliwości i procesy demokratyczne.

Przykładowo, podwyższone ryzyko może dotyczyć systemów AI używanych do selekcji kandydatów do pracy, oceny wyników nauczania, scoringu kredytowego osób fizycznych, ustalania ceny w ubezpieczeniach na życie i zdrowie, priorytetyzacji zgłoszeń alarmowych albo wspierania decyzji w obszarze wymiaru sprawiedliwości.

Pamiętaj - tzw. human in the loop nie wyłącza kwalifikacji systemu AI jako systemu wysokiego ryzyka.

8. Sprawdź, czy możliwe jest wyłączenie z klasyfikacji wysokiego ryzyka

AI Act przewiduje mechanizm, który w określonych przypadkach pozwala uznać, że system mieszczący się formalnie w załączniku III nie jest systemem wysokiego ryzyka, jeżeli nie stwarza znaczącego ryzyka szkody dla zdrowia, bezpieczeństwa lub praw podstawowych.

Może to dotyczyć systemów, które wykonują jedynie wąskie zadanie proceduralne, poprawiają wynik wcześniej zakończonej czynności człowieka, wykrywają wzorce decyzyjne lub odstępstwa od wcześniejszych wzorców bez zastępowania oceny człowieka, albo wykonują zadanie przygotowawcze do właściwej oceny.

Nie jest to jednak automatyczne zwolnienie. Wymaga udokumentowanej samooceny. Co istotne, system wykonujący profilowanie co do zasady nie korzysta z tego mechanizmu i nadal może być traktowany jako wysokiego ryzyka.

9. Przygotuj dokumentację zgodności

Zgodność z przepisami AI Act wymaga dokumentacji. Dla firm oznacza to konieczność stworzenia uporządkowanego zestawu dokumentów, który pozwoli wykazać, że system został oceniony, sklasyfikowany i wdrożony zgodnie z właściwymi wymaganiami.

W praktyce dokumentacja powinna obejmować co najmniej:

  • rejestr systemów AI używanych w firmie;
  • opis przeznaczenia każdego systemu;
  • wskazanie roli firmy;
  • klasyfikację ryzyka;
  • ocenę, czy system podlega zakazom;
  • ocenę, czy system jest wysokiego ryzyka;
  • opis danych wejściowych i wyników generowanych przez system;
  • opis kontroli ludzkiej;
  • zasady nadzoru nad systemem;
  • procedurę reagowania na błędy, incydenty i skargi;
  • zasady korzystania z generatywnej AI przez pracowników;
  • instrukcje dla użytkowników wewnętrznych;
  • dowody szkoleń z kompetencji w zakresie AI.

Dla systemów wysokiego ryzyka dokumentacja będzie znacznie bardziej rozbudowana i powinna być powiązana z zarządzaniem ryzykiem, jakością, danymi, cyberbezpieczeństwem, monitorowaniem działania systemu i obowiązkami po wprowadzeniu systemu do obrotu lub oddaniu go do użytku. Przy bardziej złożonych wdrożeniach przydatna może być także obsługa prawna projektów AI, obejmująca analizę prawną, techniczną i organizacyjną projektu.

10. Wprowadź zasady kompetencji w zakresie AI

AI Act nakłada obowiązek podejmowania środków zapewniających odpowiedni poziom kompetencji w zakresie AI. W praktyce firma powinna zadbać, aby osoby korzystające z systemów AI rozumiały ich możliwości, ograniczenia, ryzyka i zasady bezpiecznego używania. Jest to tzw. AI Literacy.

Szkolenia powinny być dostosowane do ról. Innej wiedzy potrzebuje zarząd, innej dział HR, innej dział marketingu, innej dział IT, a jeszcze innej osoby odpowiedzialne za compliance, ochronę danych i cyberbezpieczeństwo.

Minimalny program szkoleniowy powinien obejmować:

  • czym jest system AI w rozumieniu AI Act;
  • jakie są kategorie ryzyka;
  • czego firma nie może robić z AI;
  • kiedy system może być wysokiego ryzyka;
  • jak korzystać z generatywnej AI;
  • jak chronić dane osobowe, tajemnice przedsiębiorstwa i informacje poufne;
  • kiedy wynik AI wymaga weryfikacji przez człowieka;
  • jak zgłaszać błędy, incydenty i nieprawidłowości.

11. Ustal zasady przejrzystości wobec ludzi

Niektóre systemy AI wymagają spełnienia obowiązków informacyjnych. Dotyczy to m.in. systemów wchodzących w interakcję z człowiekiem, systemów generujących treści syntetyczne, systemów rozpoznawania emocji, kategoryzacji biometrycznej oraz deepfake'ów.

Firma powinna sprawdzić:

  • czy użytkownik wie, że rozmawia z systemem AI;
  • czy treści generowane lub manipulowane przez AI są właściwie oznaczane;
  • czy osoby fizyczne otrzymują wymagane informacje;
  • czy oznaczenia są zrozumiałe, widoczne i dostosowane do kanału komunikacji;
  • czy obowiązki przejrzystości są uwzględnione w procesach marketingowych, sprzedażowych i obsługi klienta.

W praktyce dotyczy to np. chatbotów, voicebotów, generatorów grafiki, systemów tworzących teksty publikowane w imieniu firmy, narzędzi do automatycznego generowania materiałów reklamowych oraz systemów wykorzystywanych do tworzenia realistycznych obrazów, nagrań audio lub wideo.

12. Połącz AI Act z RODO, cyberbezpieczeństwem i prawem pracy

AI Act nie zastępuje RODO, przepisów konsumenckich, prawa pracy, regulacji sektorowych ani zasad odpowiedzialności za produkt. Firma powinna traktować AI Act compliance jako część szerszego systemu zgodności.

W praktyce należy sprawdzić:

  • czy system przetwarza dane osobowe;
  • jaka jest podstawa prawna przetwarzania;
  • czy konieczna jest ocena skutków dla ochrony danych;
  • czy występuje zautomatyzowane podejmowanie decyzji;
  • czy system wpływa na pracowników lub kandydatów;
  • czy system spełnia wymagania cyberbezpieczeństwa;
  • czy dostawca zapewnia odpowiednie gwarancje umowne;
  • czy firma ma prawo korzystać z danych używanych w systemie;
  • czy wyniki AI mogą naruszać prawa autorskie lub tajemnice przedsiębiorstwa.

Dobrze przygotowane wdrożenie AI Act w firmie powinno łączyć analizę prawną, techniczną, organizacyjną i biznesową.

13. Zweryfikuj umowy z dostawcami AI

Wiele firm nie buduje własnych systemów AI, lecz korzysta z rozwiązań zewnętrznych. Nie zwalnia to jednak organizacji z obowiązku oceny ryzyka i właściwego korzystania z systemu.

Umowy z dostawcami powinny regulować w szczególności:

  • opis systemu i jego przeznaczenia;
  • rolę dostawcy i rolę klienta;
  • zakres dokumentacji przekazywanej firmie;
  • zasady aktualizacji systemu;
  • odpowiedzialność za istotne zmiany;
  • zasady monitorowania działania systemu;
  • obowiązki dotyczące bezpieczeństwa;
  • obowiązki dotyczące danych osobowych;
  • wsparcie w razie incydentu;
  • zasady audytu;
  • ograniczenia w używaniu danych firmy do trenowania modeli;
  • procedurę zakończenia współpracy.

W przypadku systemów wysokiego ryzyka umowa powinna być znacznie bardziej szczegółowa. Sama deklaracja dostawcy, że system jest zgodny z AI Act, nie wystarczy.

14. Przygotuj procedurę reagowania na incydenty

Firmy korzystające z AI powinny mieć procedurę wykrywania, oceny i obsługi nieprawidłowości. Szczególne znaczenie ma to w przypadku systemów wysokiego ryzyka, gdzie AI Act przewiduje obowiązki związane z poważnymi incydentami.

Procedura powinna określać:

  • kto przyjmuje zgłoszenia;
  • jak klasyfikowane są błędy i incydenty;
  • kiedy sprawa trafia do działu prawnego, compliance, IT, bezpieczeństwa lub zarządu;
  • jak zabezpiecza się logi i dowody;
  • kiedy należy powiadomić dostawcę;
  • kiedy konieczne jest zgłoszenie do organu;
  • jak dokumentowane są działania naprawcze;
  • jak aktualizowana jest ocena ryzyka.

Dla firmy istotne jest nie tylko to, czy system działa, ale również czy można wykazać, że jego działanie jest monitorowane i kontrolowane.

15. Stwórz wewnętrzną politykę korzystania z AI

Każda firma korzystająca z AI powinna posiadać wewnętrzne zasady używania takich narzędzi. Polityka nie powinna być ogólnym dokumentem deklaracyjnym. Powinna realnie odpowiadać na to, jak pracownicy korzystają z AI w codziennej pracy.

Polityka AI powinna określać:

  • jakie narzędzia są dopuszczone;
  • jakie narzędzia są zakazane;
  • jakich danych nie wolno wprowadzać do systemów AI;
  • kiedy wymagany jest przegląd wyniku przez człowieka;
  • kto odpowiada za wdrożenie nowego narzędzia AI;
  • jak zgłaszać nowe przypadki użycia AI;
  • jak oceniać ryzyko;
  • jakie zasady obowiązują przy tworzeniu treści;
  • jakie zasady obowiązują przy korzystaniu z AI w HR, sprzedaży, marketingu, finansach i obsłudze klienta.

To jeden z najważniejszych dokumentów operacyjnych w ramach AI Act compliance.

16. Monitoruj zmiany systemów AI

System AI może zmieniać się w czasie. Zmiana modelu, danych, funkcji, sposobu użycia lub przeznaczenia może wpływać na klasyfikację ryzyka i zakres obowiązków.

Firma powinna monitorować:

  • aktualizacje systemu;
  • zmiany dostawcy;
  • nowe funkcjonalności;
  • zmianę działu korzystającego z systemu;
  • zmianę kategorii danych;
  • rozszerzenie użycia na nowe kraje lub grupy użytkowników;
  • zmianę wpływu systemu na decyzje dotyczące osób fizycznych.

Realizacja i wdrożenie AI Act w firmie powinna traktować jako proces ciągły, a nie jednorazowy projekt dokumentacyjny.

17. Checklista AI Act dla zarządu

Zarząd powinien uzyskać odpowiedzi na następujące pytania:

  1. Czy wiemy, z jakich systemów AI korzysta firma?
  2. Czy mamy rejestr systemów AI?
  3. Czy każdy system ma właściciela biznesowego?
  4. Czy ustaliliśmy rolę firmy wobec każdego systemu?
  5. Czy sprawdziliśmy, które systemy mogą być zakazane?
  6. Czy oceniliśmy, które systemy mogą być wysokiego ryzyka?
  7. Czy mamy procedurę zatwierdzania nowych narzędzi AI?
  8. Czy mamy politykę korzystania z generatywnej AI?
  9. Czy pracownicy wiedzą, jakich danych nie wolno wpisywać do narzędzi AI?
  10. Czy mamy procedurę reagowania na incydenty?
  11. Czy umowy z dostawcami AI zabezpieczają interes firmy?
  12. Czy AI Act jest powiązany z RODO, cyberbezpieczeństwem i compliance?
  13. Czy osoby korzystające z AI zostały przeszkolone?
  14. Czy monitorujemy zmiany w systemach AI?
  15. Czy możemy wykazać AI Act zgodność z przepisami w razie kontroli?

Podsumowanie

Wymagania dla firm w kontekście AI Act będą zależeć od tego, jakie systemy AI są używane, w jakim celu, przez kogo i z jakim wpływem na ludzi. Nie każda firma będzie miała systemy wysokiego ryzyka, ale każda organizacja korzystająca zawodowo z AI powinna przeprowadzić co najmniej podstawową inwentaryzację, klasyfikację i ocenę ryzyka.

AI Act compliance wymaga połączenia prawa, technologii, zarządzania ryzykiem, ochrony danych, cyberbezpieczeństwa i odpowiedzialności biznesowej. Największym błędem jest traktowanie AI Act wyłącznie jako kolejnej polityki do podpisu. Prawidłowe wdrożenie AI Act w firmie powinno prowadzić do realnej kontroli nad tym, gdzie, jak i po co organizacja korzysta ze sztucznej inteligencji.

Dla przedsiębiorców kluczowe jest jedno w kontekście AI Act: obowiązki przedsiębiorców należy analizować nie abstrakcyjnie, lecz przez konkretne przypadki użycia AI w organizacji.

Aleksandra Maciejewicz
Aleksandra Maciejewicz
partner
aleksandra@lawmore.pl
573 808 067

Stay up to date with changes in law

Subscribe to our newsletter

Thank you!
Registration was successful.
Oops... your mail can't be sent!